Comments 14
Но сегодня мы пойдём иным путём

В статье не дан ответ зачем это делать
В статье не дан ответ зачем это делать

А надо? Разве наличие двух путей к одной цели это плохо?
Если речь идёт о преимуществах данного решения, то, навскидку, я отнесу к ним:
  1. Хорошую повторяемость (сравните последовательность действий этой статье с инструкцией по настройке winbind)
  2. Кэширование данных из каталога (доменный пользователь может войти на ПК, когда домен не доступен, если его учётные данные в кэше)
  3. Для PBIS не требуется формирование в каталоге AD дополнительных атрибутов пользователя
  4. PBIS понимает сайты AD и работает с контроллерами своего сайта.
  5. Большую безопасность (samba создаёт учётку компьютера с не истекающим паролем)
  6. В платной версии (если возникнет такая необходимость) PBIS агент управляем через GPO (хотя это можно и вычеркнуть)

Четвёртый пункт большой плюс. В Solaris 11.1 это работает из коробки, а в Samba только вялые упоминания о планах в мэйлистах.
Собственно сабжевый продукт и есть причесанным винбиндом, керберосом и т.д
Преимущества описаны, а вот что касается минусов?.. Насколько я помню — необходимо вводить логин с доменом — это доставляет огромное неудобство для конечных пользователей (не админов).
сабжевый продукт и есть причесанным винбиндом

Я бы сказал — «альтернативной реализацией» winbind.
Насколько я помню — необходимо вводить логин с доменом

Никак нет. есть настройка (включена по-умолчанию) позволяющая автоматически подставлять префикс к имени пользователя при входе:
# /opt/pbis/bin/config --details AssumeDefaultDomain
Name: AssumeDefaultDomain
Description: Apply domain name prefix to account name at logon
Type: boolean
Current Value: true
Accepted Values: true, false
Current Value is determined by local policy.
# /opt/pbis/bin/config --details UserDomainPrefix
Name: UserDomainPrefix
Description: Domain short name prefix to be used when AssumeDefaultDomain setting is enabled
Type: string
Current Value: "CONTOSO"
Current Value is determined by local policy.
Видимо после поглощения Likewise BeyondTrust-ом что-то поменялось, раньше ввод логина в виде domain\user был ограничением Open версии.
Что касается альтернативной реализации winbind — опять же незнаю что сейчас, но раньше Likewise использовал обыкновенную самбу с ее винбиндом и своими надстройками и патчами к ним.
Собственно приятно слышать что продукт развивается и становится все дружественнее к свом пользователям.
UFO landed and left these words here
И там тоже оно. Домен пользователей по-умолчанию можно задать при вводе ПК в домен через GUI, но можно и изменить в любой момент в настройках.
Спасибо за статью.
После установки likewise на ubuntu и настройки по вашему туториалу я смогу на линукс машине создавать шары с доменными правами, как в обычной windows, т.е. определенной группе или просто списку пользователей давать права на запись и изменение, а остальным только чтение (а то на работе есть AD, а файлопомойка на linux с поднятой самба и кто-то регулярно пакостит, удаляя все).
а еще likewise + acl + git: удобный простой гит сервер, с поддержкой групп АД.
Значение параметра устанавливается например так:
/opt/pbis/bin/config RequireMembershipOf «Администраторы^Linux»

у меня так не срабатывало, пока не проставил так:

opt/pbis/bin/config RequireMembershipOf "DOMAIN\\Администраторы^Linux"
а может кто подскажет — как разрешить всей группе, указанной ранее (из AD которая) выполнять команды sudo ?! какой формат записи в visudo?
% DOMAIN\\Администраторы^Linux ALL=(ALL) NOPASSWD: ALL — не прокатывает :(
  • Без пробела между % и названием группы
  • Скорее всего проблема с разделителем домена/группы
  • Проверьте, что у вас в опции AssumeDefaultDomain — у меня везде true и работает без указания домена
благодарю! дело, действительно, было в формате написания — теперь работает :)
Only those users with full accounts are able to leave comments. Log in, please.